IPAISECより提唱されているSolarisにおけるサーバーの要塞化
Recomendedパッチの適用
# cd patch # unzip 10_Recommended.zip # cd 10_Recommended # ./install_cluster
かなり時間がかかりますが適用しておいた方が無難です。
不要なサービスの停止
# cd /etc/rc2.d/ # mv S10lu X.S10lu # mv S20sysetup X.S20sysetup # mv S40llc2 X.S40llc2 # mv S50apache X.S50apache # mv S72autoinstall X.S72autoinstall # mv S73cachefs.daemon X.S73cachefs.daemon # mv S90loc.ja.cssd X.S90loc.ja.cssd # mv S90wbem X.S90wbem # mv S90webconsole X.S90webconsole # mv S94atsv X.S94atsv # mv S94Wnn6 X.S94Wnn6 # mv S95IIim X.S95IIim # mv S99dtlogin X.S99dtlogin # cd /etc/rc3.d/ # mv S77dmi X.S77dmi # mv S90samba X.S90samba # inetadm -d svc:/network/finger:default # inetadm -d svc:/network/shell:tcp # inetadm -d svc:/network/shell:tcp6only # inetadm -d svc:/network/rpc/rusers:udp # inetadm -d svc:/network/login:rlogin # svcadm disable sendmail # svcadm disable cde-login
ユーザの削除
# userdel lp # userdel listen # userdel uucp # userdel nuucp # userdel noaccess # userdel nobody4
グループの削除
# groupdel lp # groupdel uucp # groupdel nuucp # groupdel noaccess # groupdel nogroup
環境変数LD_LIBRARY_PATHの追加
cd /etc echo "LD_LIBRARY_PATH=/usr/local/lib:/usr/local/ssl/lib:/usr/lib:$LD_LIBRARY_PATH" >> profile echo "export LD_LIBRARY_PATH" >> profile
時刻同期させる為の設定
cd /etc/inet sed -e 's/^server.*$/server 133.100.9.2/' ntp.server > ntp.conf cp ntp.conf ntp.org sed -e 's/^fudge.*$//' ntp.org > ntp.conf rm -f ntp.org
TCPセッションのシーケンス番号をランダム化
cd /etc/default/ cp inetinit inetinit.org sed -e 's/^TCP_STRONG_ISS.*$/TCP_STRONG_ISS=2/' inetinit.org > inetinit
ディフォルトゲートウェイの設定
echo "XXX.XXX.XXX.XXX" > /etc/defaultrouter
rootユーザーのディフォルトディレクトリ位置の変更
(/)から(/root)にする。
mkdir /root chown root:root /root chmod 700 /root init 1 cp /etc/passwd /etc/passwd.org sed -e 's/root:x:0:1:Super-User:/:/sbin/sh/root:x:0:1:Super-Usr:/root:/sbin/sh/' /etc/passwd.org > /etc/passwd sync; sync; sync; /usr/sbin/shutdown -i6 -g0 -y